[Paper] 差分隐私用于医疗物联网-云系统中的安全机器学习

Source: arXiv - 2512.10426v1

概览

本文提出了一种 多层 IoT‑Edge‑Cloud 框架，用于需要 实时响应（例如紧急警报）和 强隐私保障 的医疗保健应用。通过在多种常见机器学习（ML）模型中嵌入 差分隐私 (DP)，并将系统与 基于区块链的可审计性 相结合，作者展示了在分布式健康 IoT 环境中如何在保证患者数据安全的同时，仍能提供准确的分析。

主要贡献

• 混合 IoT‑Edge‑Cloud 架构，根据延迟关键性和存储持久性对任务进行路由。
• 差分隐私支持的 ML 流水线，覆盖 K‑means、逻辑回归、随机森林和朴素贝叶斯，并提出了新颖的 自适应拉普拉斯‑高斯噪声机制。
• 完整的威胁模型，区分三类对手（属性推断、数据重建和模型反演）。
• 实证评估显示，在实际隐私预算（ε = 5.0）下，监督模型仍保持 82‑84 % 的准确率，同时将推断攻击降低至 18 %，将重建相关性降低 70 %。
• 区块链集成，实现不可篡改的日志、时间戳和分析结果的可追溯性。
• **边缘层延迟降低约 ≈8×，用于紧急场景，验证了层次化处理的优势。

方法论

系统设计

作者将健康 IoT 工作流划分为三层：

• IoT 设备（可穿戴设备、传感器）收集原始生命体征。
• 边缘节点（医院网关、本地服务器）执行快速、对延迟敏感的预处理和紧急检测。
• 云端 承担重量级的 ML 训练和长期存储。

差分隐私注入

对每种 ML 算法，噪声可添加到训练数据（输入扰动）或模型参数（输出扰动）。比较了三种机制：

• 拉普拉斯 – 适用于低维数据，尾部较重。
• 高斯 – 适用于高维数据，尾部较轻。
• 自适应预算分配的混合拉普拉斯‑高斯，根据特征敏感度在 ε 预算上进行分配。

威胁建模

定义了三类对手：

• 类别 1：尝试推断特定患者属性。
• 类别 2：试图从已发布模型中重建原始数据。
• 类别 3：执行模型反演以提取训练记录。

区块链审计

每一次分析请求和结果都记录在许可区块链上，提供防篡改日志并实现合规性（如 HIPAA）的可追溯性。

实验设置

使用公开的健康数据集（包括低维和高维）在不同 ε 值（1–10）下训练四种 ML 模型。测量准确率、攻击成功率以及三层系统的延迟。

结果与发现

结论： 混合拉普拉斯‑高斯机制提供了 最佳的隐私‑效用平衡，在保留大部分模型预测能力的同时，显著削弱了对手的推断或重建患者数据的能力。边缘处理将紧急响应延迟降低了一个数量级，验证了层次化设计的有效性。

实际意义

• 快速紧急警报： 医院可以部署在边缘运行轻量级 DP 保护分类器的网关，在毫秒级内触发警报——对心脏事件、跌倒或药物过量检测至关重要。
• 合规就绪的分析： 内置的 DP 保证满足监管阈值（如 GDPR 的“合理风险”标准），而不会牺牲慢性病管理预测模型的实用性。
• 跨机构安全数据共享： 区块链审计轨迹让多个诊所或保险公司能够验证谁访问了哪些分析结果，简化跨机构合作并保留患者同意记录。
• 可扩展的云端训练： 数据科学家可以在云端使用 DP 噪声数据集进行更丰富的模型训练，确保下游部署（边缘或移动端）继承相同的隐私保障。
• 开发者工具包： 论文中的噪声分配算法可封装为库（如 Python 的 dpprivacy），实现“一键式”在常见 ML 框架（scikit‑learn、TensorFlow）中加入 DP。

局限性与未来工作

• 固定隐私预算： 本研究在大多数实验中使用静态 ε = 5；基于实时风险评估的动态预算分配有待进一步探索。
• 数据集多样性： 实验仅限于少数基准健康数据集；需要在大规模、异构的 IoT 流（如连续 ECG、多模态影像）上进行验证。
• 区块链可扩展性： 虽然日志开销低，但论文未讨论在全国性健康网络下高交易量的共识性能。
• 模型泛化能力： 只考察了经典机器学习算法；将 DP 框架扩展到深度学习（CNN、RNN）和联邦学习场景仍是开放研究方向。

核心结论： 通过将层次化 IoT‑Edge‑Cloud 设计与智能混合差分隐私方案以及区块链审计相结合，作者为 安全、低延迟、数据驱动的医疗保健 绘制了一条可行路径——一个开发者今天即可开始实验的蓝图。

作者

• N Mangala
• Murtaza Rangwala
• S Aishwarya
• B Eswara Reddy
• Rajkumar Buyya
• KR Venugopal
• SS Iyengar
• LM Patnaik

论文信息

• arXiv ID: 2512.10426v1
• 分类: cs.CR, cs.DC
• 发布日期: 2025 年 12 月 11 日
• PDF: Download PDF